Gezondheidszorg vatbaarder voor interne datalekken.

De gezondheidszorg biedt hierbij de grootste uitdaging, je kan namelijk lastig vergaande technische maatregelen nemen om toegang tot de medische gegevens van patienten te beperken.
Om de patient van de juiste zorg te voorzien zijn de gegevens links- of rechtsom écht nodig, en als dat extra tijd kost dan kost dat geld zoals bij elke organisatie, maar het kan ook nog eens levens kosten.

Op een school is het onhandig als de invallende docent niet direct bij de data van zijn/haar leerlingen kan, maar is het wel de gewenste situatie dat niet alle docenten zomaar bij de gegevens van alle leerlingen kunnen. Die extra administratieve handelingen om iemand (tijdelijk) toegang te verlenen zouden scholen voor lief moeten nemen.
In een ziekenhuis ligt dat een stuk lastiger, de enige manier waarop je dit probleem preventief oplost is het opvoeden van je personeel.
De andere oplossing is een slim reactief systeem inrichten op je EPD die in de gaten houdt wie welke gegevens opvraagt en belletjes laat af gaan als er iemand wel heel vaak willekeurige mensen op zoekt, maar dat zijn kostbare oplossingen.

Grannd schreef op dinsdag 10 april 2018 @ 11:44:
Op een school is het onhandig als de invallende docent niet direct bij de data van zijn/haar leerlingen kan, maar is het wel de gewenste situatie dat niet alle docenten zomaar bij de gegevens van alle leerlingen kunnen. Die extra administratieve handelingen om iemand (tijdelijk) toegang te verlenen zouden scholen voor lief moeten nemen.
In een ziekenhuis ligt dat een stuk lastiger, de enige manier waarop je dit probleem preventief oplost is het opvoeden van je personeel.
De andere oplossing is een slim reactief systeem inrichten op je EPD die in de gaten houdt wie welke gegevens opvraagt en belletjes laat af gaan als er iemand wel heel vaak willekeurige mensen op zoekt, maar dat zijn kostbare oplossingen.

Een invallende docent moet plannen met namen/niveau's van leerlingen kunnen inkijken om goed onderwijs te weten. De invallende docent moet tevens een groepsplan kunnen lezen met daarin bijzonderheden over het gedrag van bepaalde leerlingen. Een invallende docent moet gegevens kunnen vinden over medische bijzonderheden van de kinderen. Een invallende docent moet over telefoonnummers van ouders beschikken om in noodgevallen te kunnen bellen...

Op het moment dat internet uitvalt (bijvoorbeeld door een storing of een brand) zijn veel gegevens niet beschikbaar. Dat betekent dat je het op papier zou moeten hebben staan, maar dan zit je weer met veiligheid.

Iemand tijdelijk toegang geven kost tijd, dit terwijl een school hier geen personeel voor heeft (net als een ziekenhuis waarschijnlijk). Een basisschool heeft geen ICT afdeling, maar heeft een leerkracht die wat kennis heeft opgedaan en de taak van ICT'er heeft gekregen. Als deze leerkracht afwezig is dan is er dus niemand die dergelijke toestemmingen kan instellen.

Basisscholen zullen alle stukken moeten gaan digitaliseren, maar moeten ook gaan zoeken naar wat nog wel op papier kan worden gezet en hoe dat moet worden bewaard. Als een leerkracht met een klas gaan fietsen dan moet hij in noodgevallen ouders kunnen bereiken. Dat betekent al dat er vanuit moet worden gegaan dat de leerkracht zijn privé mobiel bij zich heeft. Daarnaast zou hij dan dus ook de telefoonnummers van ouders bij zich moeten dragen en een lijst met medische bijzonderheden. Een work-around is dat de leerkracht naar school moet bellen, deze verder bellen, etc.

Denk aan een lijst met medische bijzonderheden van alle leerlingen op school. Als er op het schoolplein iets gebeurt dan moet er direct inzage zijn in een medisch dossier van de leerling, in plaats dat er eerst een kwartier moet worden gezocht naar de leerkracht van de leerling.

Ik heb geen idee hoe basisscholen hier op de juiste manier mee om moeten gaan, aangezien ze deze tijd en kennis niet hebben en nog gewend zijn om veel op papier te doen.

Een degelijke BHV en simpele overdrachtsprocedure voor invallers lost alle issues die je noemt op zonder dat je als school de privacy van leerlingen en hun ouders over laat aan de individuele beoordeling van iedere mogelijke leerkracht die met een leerling te maken zou kunnen hebben.
Als er iets gebeurt met een leerling is eerste hulp verlenen de prioriteit, je gaat niet 10 minuten werkende ouders proberen te bereiken als je tegelijkertijd een situatie probeert op te lossen en groep van +15 kids aan het begeleiden bent. Daarvoor bel je kort effe met administratie/conciërge/collega om dat voor je te doen.

Natuurlijk heeft het voordelen als iedereens privacy op straat ligt, maar ik zou mijn kind niet op een school willen hebben waar letterlijk iedereen die voor die school werkt en een beetje nieuwsgierig is, alles van mijn kind kan gaan zitten opzoeken. Dit is precies waarvoor de AVG is bedoeld.
Als scholen en andere organisaties niet op de juiste manier met de privacy van medewerkers/klanten/leerlingen/etc. om gaan, werk je juist de voorbeelden in de hand waar dit nieuwsbericht over gaat: De nieuwsgierige aagjes gaan met de gegevens aan de haal en als iemand met kwade bedoelingen zich toegang weet te verschaffen tot één account kan die direct alle gegevens van alle leerlingen op straat zetten itt een geselecteerde groep.

[ Voor 19% gewijzigd door Grannd op 10-04-2018 21:25 ]

Verwijderd schreef op dinsdag 10 april 2018 @ 10:24:

Dat Barbie verhaal is dan wel bijzonder onprofessioneel trouwens.

Dat klopt, en het wordt aangewakkerd door het feit dat mensen zich onbespied wagen. Dat toegang tot een EPD door de patient iets van gevoelig ligt omdat men bang is dat de patient gegevens waar hij het niet mee eens is gaat wijzigen kan ik me nog wel voorstellen _{"flauwekul, wij zijn helemaal niet schizofreen! Weg ermee!"}. Maar dat het niet volkomen vanzelfsprekend is dat je als patient kunt inzien wie in je gegevens geneusd heeft is onbegrijpelijk.

Het grootste probleem wat ik in de zorg zie is dat verreweg de meeste professionals daar hun werk erg serieus nemen: het willen leveren van de juiste zorg aan de patient. Dat staat helaas praktisch vaak haaks op de strikte procedure en technische maatregelen die nodig zijn om aan de privacyregels te voldoen. Dat was al een probleem, de BVG heeft daarnaast veel voorheen middenvertrouwelijke informatie opeens hoogvertrouwelijk gemaakt.

We hebben dit voor een dozijn partijen waar we ECD software leveren 10 jaar geleden al opgelost door de client toegang te geven tot het eigen ECD en elke 'view' en 'change' te loggen en te tonen in het logboek van het ECD.

En wat denk je: niemand komt op het idee om te gaan lopen grasduinen in dossiers.

Toegang blijft natuurlijk wel belangrijk, om dit persoonlijk te houden en altijd met 2fa. Mocht nu iemand toegang tot een andere patient's gegevens nodig hebben kan dit dus, alleen ziet de patient en betrokken zorgprofessional dit ook direct. Prima natuurlijk, als het een invaller of noodgeval is. Maar dit doe je dus niet 'zomaar'.

Veelgebruikte optie is een 'break glass to continue' optie. Je kan verder, bv voor een SEH casus, maar de Medische Directie krijgt er wel een melding van.